Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

AWS Black Belt Techシリーズ AWS Directory Service

9,560 views

Published on

AWS Black Belt Tech Webinar 2014
(旧マイスターシリーズ)

AWS Directory Service

Published in: Technology
  • Be the first to comment

AWS Black Belt Techシリーズ AWS Directory Service

  1. 1. AWS Directory Service AWS Black Belt Tech Webinar 2014 (旧マイスターシリーズ) アマゾンデータサービスジャパン株式会社 ソリューションアーキテクト 渡邉源太
  2. 2. Agenda • Active Directory on AWS – 基礎からわかるActive Directory – Active Directory on AWS構成のシナリオ – ADFSとIAMによるID連携 • AWS Directory Service – ディレクトリタイプの選択 – ディレクトリの管理理 – 多要素認証(MFA)の設定
  3. 3. Active Directory on AWS
  4. 4. ディレクトリとは • ユーザに関わる各種情報を保管する仕組み – ユーザ名 – 姓・名、部署、電話番号 – メールアドレス – パスワード – グループ など • ツリー状の構成とする事が多いことから、 ディレクトリと呼ばれる • 関連⽤用語:LDAP、Active Directory、OpenLDAP
  5. 5. Active Directoryとは • Windowsネットワークの基本的な認証とセキュリティ 基盤 • Windows 2000から標準機能として実装されたディレ クトリサービス • NTドメインからの反省省をふまえたアーキテクチャー – ドメイン間の階層構造がとれない – 同⼀一ネットワーク上に同じコンピュータ名が共存できない – Security Account Manager(SAM)データベースの最⼤大容量量が 40MBまで
  6. 6. Active Directoryの必要性 • IDとアクセス管理理 – 運⽤用効率率率の向上 – コンプライアンスの推進 – セキュリティの強化 – エクストラネットへの拡張 • アプリケーションによる使⽤用 – Exchange/SharePoint/SQL Server – ファイル共有・パッチ管理理など Windowsシステムでは、Active Directoryがほぼ必須
  7. 7. Active Directoryサービス • Active Directoryドメインサービス (AD DS) • Active Directory フェデレーションサービス(ADFS) • Active Directory 証明書サービス (AD CS) • Active Directory ライトウェイトディレクトリサービス (AD LDS) • Active Directory Rights Managementサービス (AD RMS)
  8. 8. Active Directoryドメインサービス(AD DS) • 名前解決(DNS) • ディレクトリサービス(LDAP) • ユーザー認証(Kerberosバージョン5) • クライアント管理理(SMB:ファイル共有)
  9. 9. 基本的な⽤用語 • フォレスト – DNSの名前階層に基づく1つ以上のドメインの階層的集合 • ドメイン – ユーザーとコンピュータの管理理単位 – DNSの名前階層をLANに応⽤用したもの • 組織単位(OU) – ユーザーとコンピュータを管理理する論論理理的な階層 • サイト – 物理理ネットワークに基づく境界
  10. 10. ドメインとフォレスト • Active Directoryの論論理理構造 – ドメイン・ツリー間で信頼関係を結んだものがフォレスト – フォレスト内のドメインでは、「推移的な信頼関係」が結ばれる 信頼関係domain.local 信頼関係 jp.domain.local us.domain.local ドメイン・ツリー 信頼関係domain.local 信頼関係 jp.domain.local us.domain.local ドメイン・ツリー フォレスト
  11. 11. OU(組織単位)の構造 • OU(組織単位)の中にユーザー、コンピュータ、グ ループなどのオブジェクトが配置される • グループポリシーの適⽤用範囲 Active Directoryドメイン 営業部 OU 経理部 OU Member 001 Member 002 Member 003 Member 004 Member 101 Member 102 Member 103 Member 104
  12. 12. Flexible Single Master Operation(FSMO) • Active Directoryドメインコントローラ(DC)には FSMOと呼ばれる特別な役割があります。 • スキーマ・マスタ – Active Directoryのデータベーススキーマを管理理 • ドメイン名前付け操作マスタ – フォレストにおけるドメインの追加/削除 • RIDマスタ – オブジェクトの固有識識別に使⽤用するSIDの⼀一部、RIDを管理理 • PDCエミュレータ – NTドメインのプライマリドメインコントローラをエミュレート • インフラストラクチャ・マスタ – グループに所属しているユーザーアカウントの情報を管理理
  13. 13. ドメイン コントローラー(DC)配置 • 新規のActive Directory ドメインサービスの構築 – ドメインコントローラーをEC2上に構築 • アプリケーションで集中化されたクラウドベースの認証が必要な場合 • 既存のActive Directory環境をAWSに拡張 – 既存(オンプレミス)のドメインコントローラーを利利⽤用
  14. 14. AWS 上に DC を配置する場合 • 新規のActive Directory ドメインサービスの構築 Availability Zone Availability Zone Direct Connect VPN Connection DC (FSMO1) クライアント DC (FSMO2) ・AZ を利利⽤用した冗⻑⾧長化 ・リストア⽅方法について要検討
  15. 15. 既存DCを利利⽤用し、ハイブリッド運⽤用する場合 • 既存のActive Directory環境をAWSに拡張 DC (FSMO)DCDC Availability Zone Availability Zone Direct Connect VPN Connection (FSMO) クライアント AZ を利利⽤用した冗⻑⾧長化 FSMO の配置場所を選定(AWS もしくは⾃自社環境)
  16. 16. DNS の配置 • 障害発⽣生時にも名前解決ができる状態を確保する DNSDNSDNS Availability Zone Availability Zone Direct Connect VPN Connection DC (FSMO) DCDC (FSMO) クライアント この障害の例例では、⾃自分⾃自⾝身に DNS がイ ンストールされていないと名前解決ができ ない状態に陥る。名前解決ができる状態を 確保することで DC の孤⽴立立を防ぐ。
  17. 17. 参照先 DNS の指定 • NIC の TCP/IP の設定 – 参照先 DNS には、DC 上の DNS を指定する – AWS が提供する DNS は、(代替 DNS としても)参照しない • DC の参照ができなくなり、ログオン障害が発⽣生する恐れ • DC 間の複製障害が発⽣生する恐れ • DC 上の DNS のフォワーダーに AWS が提供する DNS を設定 インターネットの名前解決は AWS が提供する DNS にフォワード
  18. 18. TCP/IP の詳細設定(DNS) • 既定で DNS サフィックスに AWS 関連のものが追加されている • 追加されているサフィックスの例例 – ap-‐‑‒northeast-‐‑‒1.ec2-‐‑‒utilities.amazonaws.com – us-‐‑‒east-‐‑‒1.ec2-‐‑‒utilities.amazonaws.com – ec2-‐‑‒utilities.amazonaws.com – ec2.internal – ap-‐‑‒northeast-‐‑‒1.compute.internal
  19. 19. DHCP Options Set の利利⽤用 ドメインの FQDN を指定 DC 上の DNS を指定 NTP サーバーは設定しない(PDC エミュレーター同期) WINS を使⽤用する際に指定 WINS を使⽤用する際に 2 を設定
  20. 20. バックアップ • 従来のバックアップの⼿手法を使⽤用 – VSS (Volume Shadow Copy Service)に 対応したバックアップ ツールを使⽤用する • Windows Server バックアップ • Wbadmin.exe – Tombstone Lifetime の有効期限に注意 • EC2 スナップショットの利利⽤用 – バックアップ ツールによって取得されたバックアップ データが保管さ れているボリュームのスナップショットを取得し、データを保全 – DC のシステム全体のスナップショットについては、次ページの留留意点 について⼗十分考慮する必要がある
  21. 21. リストア時の注意 • DC のシステム全体のスナップショットをリストアに使⽤用しない – USN ロールバックを誘発 – ロールバックが発⽣生した DC はドメイン環境から隔離離され、複製パー トナーとして⾒見見なされなくなる 仮想化ドメイン コントローラーのバックアップと復復元に関する考慮事項 http://technet.microsoft.com/ja-jp/library/dd363545%28v=ws.10%29.aspx
  22. 22. Active Directoryフェデレーションサービス(ADFS) • セキュリティで保護されたID連携(フェデレーション) とWebシングルサインオン(SSO)を提供 • AD DS/AD LDSで認証されたユーザーに対してセキュ リティトークンを発⾏行行(SAML 1.1/2.0) • Office 365やGoogle Appsへのシングルサインオン (SSO)にも利利⽤用される – http://community.office365.com/ja-‐‑‒jp/b/ office_̲365_̲community_̲blog/archive/2012/01/14/adfs-‐‑‒in-‐‑‒ office-‐‑‒365.aspx
  23. 23. IAMと Active Directory の認証連携 • AWS IAM の SAML 2.0 サポート • Active Directory と SAML 2.0 による ID 連携が可能 – Active Directoryフェデレー ションサービス を利利⽤用 • Active Directory の ユーザーとグループを認証 と認可に使⽤用 参考情報:Enabling Federation to AWS using Windows Active Directory, ADFS, and SAML 2.0 http://blogs.aws.amazon.com/security/post/Tx71TWXXJ3UI14/Enabling-Federation-to-AWS-using-Windows-Active- Directory-ADFS-and-SAML-2-0
  24. 24. グループのマッピング • AWS の操作権限の単位を セキュリティ グループとして作成 • IAM ロールを作成し、AWS の操作 権限を IAM ポリシーで定義 セキュリティ グループ(AD)と IAM ロールをマッピングが可能
  25. 25. AWS Directory Service
  26. 26. AWS Directory Serviceでできること • AWSクラウド上にスタンドアロンのディレクトリ を新規に作成 • 既存の企業内の認証を利利⽤用して: – AWSアプリケーションへのアクセス(Amazon WorkSpaces, Amazon Zocaloなど) – IAMロールによるAWS Management Consoleへのアクセス
  27. 27. ディレクトリタイプの選択 • Simple AD – フルマネージドのディレクトリ サービス – Samba 4 Active Directory互換サーバーを利利⽤用 – AWS上に独⽴立立したドメインを作成 • AD Connecter – 既存のディレクトリ サービスへの接続 – オンプレミスまたは VPC 上のドメインを指定 – 多要素認証(MFA)をサポート
  28. 28. ディレクトリのサイズ • Simple AD – Small:最⼤大で1,000のユーザー、コンピュータ、グループ、その他 のオブジェクト – Large:最⼤大で10,000のユーザー、コンピュータ、グループ、その 他オブジェクト • AD Connector – Small:最⼤大で10,000のユーザー、コンピュータ、グループ、その 他のオブジェクトへの接続 – Large:最⼤大で100,000のユーザー、コンピュータ、グループなど のオブジェクトへの接続
  29. 29. Simple AD • スタンドアロンのマネージド型ディレクトリ – Samba 4 Active Directory互換サーバーを利利⽤用 – AWSアプリケーション(Amazon WorkSpaces/Amazon Zocalo)の利利⽤用をサポート • ⼀一般的なActive Directoryの機能をサポート – ユーザーアカウント/グループのメンバーシップ/EC2 Windowsインスタンスのドメイン参 加/KerberosベースのSSO/グループポリシー • 既存のActive Directory管理理ツールを利利⽤用した管理理が可能 – Microsoft 管理理コンソール(MMC)スナップイン、Active Directory Services Interface (ADSI)、ADSIEdit、および dsadd や dsmod コマンドラインツール
  30. 30. Simple ADの作成 • ドメインと管理理者アカウントを作成する – Directory DNS – NetBIOS Name – Administrator Password – Directory Size • ディレクトリを作成するVPCを選択 – VPCには異異なる Availability Zoneに 2つ以上の Subnet が 存在する必要がある
  31. 31. ディレクトリを作成する • アジアパシフィック(東京)リージョンに変更更してディレクトリを 作成します。 1. リージョン選択メニュー 2. [Asia Pacific (Tokyo)] を選択 3. [Get Started Now] を選択
  32. 32. ディレクトリタイプの選択 • Create a Simple ADを選択 [Create Simple AD] を選択
  33. 33. Simple ADの作成(1/2) 1. [Directory DNS] を⼊入⼒力力 2. [NetBIOS name] を⼊入⼒力力 (オプション) 3. [Administrator password] を⼊入 ⼒力力 4. [Small] を選択
  34. 34. Simple ADの作成(2/2) • 既存のVPCを選択、または新規にVPCとSubnet を作成 1. [VPC] を選択 2.2つの [Subnets] を選択 3. [Next Step]をクリック
  35. 35. ⼊入⼒力力内容の確認 [Create Simple AD]をクリック
  36. 36. Simple ADの確認(1/2) • [Status]が[Active]になれば作成完了了
  37. 37. Simple ADの確認(2/2) • [Directory ID]をクリックして[Directory Details]を確認
  38. 38. 作成されたSimple AD • ドメインコントローラはMulti-‐‑‒AZ構成で複数のSubnetに展開され る – EC2インスタンスとしては表⽰示されない • 標準的なActive Directoryの管理理ツールから操作可能 – イベントビューア – Active Directoryユーザとコンピュータ Domain Controller Domain Controller Availability Zone Availability Zone Virtual Private Cloud
  39. 39. ディレクトリの管理理 • ドメインに参加させたEC2インスタンスにActive Directory管理理ツールをインストールすることにより ディレクトリの管理理が可能 – %SystemRoot%system32dsa.msc
  40. 40. スナップショットの管理理 • デフォルトで⽇日時のスナップショットによるバックアッ プを実⾏行行し、ポイントインタイムリカバリーが可能 – 5⽇日分のスナップショットが保存される – マニュアルでのスナップショットにも対応 [Create Snapshot]をクリック
  41. 41. Access URLの設定 • Access URLはAWSアプリケーションとの連携のために利利⽤用される – 設定するURLはグローバルでユニーク(⼀一意)である必要がある – ⼀一度度設定すると変更更・削除はできない 1. Access URLを設定2. [Create Access URL]をクリック
  42. 42. AWS Management Console連携の設定 • 作成したAccess URLを利利⽤用したAWS Management Consoleへのアクセスを設定 1. Manage Accessを選択 2. [Enable Access]をクリック
  43. 43. ユーザー/グループとIAMロールのマッピング • 適切切な権限を設定するために、ユーザー/グループと IAMロールのマッピングを⾏行行う – この例例ではEC2ReadOnlyロールとPowerUserロールにそれぞれグルー プとユーザーを割り当て [New Role]をクリック
  44. 44. AWS Management Consoleへのシングルサインオン (SSO) • https:// access_̲url.awsapps.co m/console/にアクセスして ログオンすることにより Management Consoleへの Webベースでのシングルサ インオン(SSO)が可能
  45. 45. AD Connector • オンプレミスのActive Directoryへの接続 – 既存のVPN接続、もしくはAWS Direct Connect経由 • 既存の認証によるAWSアプリケーションへのユーザー アクセス – Amazon WorkSpaces/Amazon Zocalo • AWS Identity Access Management (IAM)との統 合によるAWS Management Consoleへのアクセス • 多要素認証(MFA)をサポート
  46. 46. AD Connectorの作成 • 既存のActive Directory ドメイン情報を⼊入⼒力力 – Directory DNS – NetBIOS Name – Account username – Account Password – DNS Address • ディレクトリを作成する VPC を選択 – VPCには異異なる Availability Zone に 2つ以上の Subnet が存 在する必要がある
  47. 47. 作成されたAD Connector • VPC 上に認証⽤用プロキシが作成される – リクエストベースによりプロキシを経由してドメイン コント ローラーに対して接続 – 既存のユーザー認証およびポリシーを適⽤用可能 AD Connector AD Connector Availability Zone Availability Zone Virtual Private Cloud VPN Gateway Customer Gateway Domain Controller Corporate Data center
  48. 48. 多要素認証 Multi-‐‑‒Factor Authentication(MFA) • AD Connectorで利利⽤用可能 • RADIUSサーバーを経由したMFAに対応 – ワンタイムパスワード等に対応 – スマートカードや証明書には未対応 – Symantec Validation and ID Protection Service (VIP) および Microsoft RADIUS Serverでテスト済 • 既にお使いのワンタイムトークンがそのまま 使える可能性もあり
  49. 49. (例例) Google Authenticatorを使った⽅方法 • スマートフォンに無料料でインストールできる Google Authenticator をソフトウェアトークンとして使⽤用する。 • サーバ側は、オープンソースのFreeRADIUSと Google AuthenticatorのPAM(Pluggable Authentication Module)を連携させて実現させる。 • http://aws.typepad.com/sajp/2014/10/google-‐‑‒ authenticator.html ※ユーザ登録時のGUIは無くコマンドライン操作が必要になります。
  50. 50. MFAの設定 • [Multi-‐‑‒Factor Authentication]タブにRADIUSサーバーの情報を⼊入⼒力力して [Update Directory]を選択 RADIUSサーバーのIPアドレス チェック ポート番号 [Update Directory]を選択 パスワード パスワード(確認) プロトコル タイムアウト(秒) リトライ回数
  51. 51. AWS Directory Serviceの料料⾦金金 • 作成したディレクトリのタイプとサイズにもとづいて課⾦金金 アジアパシフィック(東京) ディレクトリのタイプサイズ時間料料⾦金金 AD ConnectorSmall0.08 USD(58.40 USD/⽉月*) AD ConnectorLarge0.24 USD(175.20 USD/⽉月*) Simple ADSmall0.08 USD(58.40 USD/⽉月*) Simple ADLarge0.24 USD(175.20 USD/⽉月*) * ⽉月ごとの利利⽤用料料⾦金金は、1 か⽉月を 730 時間として算出します。
  52. 52. 無料料利利⽤用枠 • 無料料トライアル – ディレクトリをはじめて作成する場合は750時間分のSmallディ レクトリ(Simple ADまたはAD Connector)が無料料 – ディレクトリの作成後30⽇日間で無効になる • Amazon WorkSpacesとAmazon Zocalo – Smallディレクトリでは1アクティブユーザー、Largeディレク トリでは100アクティブユーザーが存在していればその⽉月の AWS Directory Serviceの料料⾦金金は無料料
  53. 53. 利利⽤用可能なリージョン • 利利⽤用可能なAWSリージョン: – US East (N.Virginia) – US West (Oregon) – EU (Ireland) – Asia Pacific (Sydney) – Asia Pacific (Tokyo) • その他のリージョンは今後予定
  54. 54. まとめ • Active DirectoryはWindowsシステムにおいてほぼ必須 となるIDとアクセス管理理の基盤 • 適切切な設計と監理理により、Active DirectoryをAWS上で 構築・運⽤用することが可能 • AWS Directory Serviceは既存のActive Directoryとの 連携、またはフルマネージドのディレクトリサービスを 提供 – AWSアプリケーション(Amazon WorkSpaces、Amazon Zocalo)およ びAWS Management Consoleとの連携
  55. 55. 参考資料料 • AWS Directory Service Administration Guide – http://docs.aws.amazon.com/directoryservice/latest/ adminguide/what_̲is.html • AWS Directory Serviceのよくある質問 – http://aws.amazon.com/jp/directoryservice/faqs/ • 料料⾦金金表 – http://aws.amazon.com/jp/directoryservice/pricing/

×